Sicherheitslücke: Login ohne Passwort mit LibSSH

Eine sehr schwerwiegende Sicherheitslücke in der Bibliothek LibSSH erlaubt es Angreifern, die Authentifizierung beim Login zu überspringen. Doch die Auswirkungen dürften begrenzt sein: Kaum jemand nutzt LibSSH für Server.

Artikel veröffentlicht am , Hanno Böck
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben.
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben. (Bild: Screenshot Webseite / Hanno Böck)

Eigentlich wäre es eine katastrophale Sicherheitslücke: Die Bibliothek LibSSH erlaubt es, beim Login den Authentifizierungsprozess zu überspringen. Clients können einfach durch das Senden einer falschen Protokollnachricht behaupten, dass der Nutzer bereits authentifiziert sei - und sich somit einloggen, ohne ein Passwort vorzuweisen.

Stellenmarkt
  1. Informatiker / Fachinformatiker / MTLA als Anwendungsbetreuer (m/w/d) für medizinische Applikationen ... (m/w/d)
    Limbach Gruppe SE, Heidelberg
  2. IT-Security-Architect (m/w/d)
    Rundfunk Berlin-Brandenburg (rbb), Berlin, Potsdam
Detailsuche

Die Entwickler von LibSSH haben die Versionen 0.7.6 und 0.8.4 veröffentlicht, in denen das Problem behoben ist. Die Lücke hat die Id CVE-2018-10933 erhalten.

Wer LibSSH auf Server-Seite nutzt, sollte daher unbedingt sofort updaten - und muss möglicherweise damit rechnen, dass der Server bereits von Angreifern übernommen ist. Allerdings dürfte das nur wenige Personen tatsächlich betreffen, denn die Server-Funktion von LibSSH wird nicht sehr häufig genutzt.

Nur wenige Server mit LibSSH

Die Bibliothek LibSSH implementiert das SSH-Protokoll und wird auch von einer Reihe von Anwendungen genutzt, beispielsweise von KDE. Doch in den allermeisten Fällen nutzen Applikationen LibSSH nur, um clientseitig Verbindungen aufzubauen. Die sind jedoch von der Lücke nicht betroffen.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
Weitere IT-Trainings

Der einzige prominente Nutzer von LibSSH dürfte Github sein, die laut LibSSH-Webseite diese Bibliothek serverseitig nutzen. Allerdings erklärte Github in einem Tweet, dass man von der Lücke nicht betroffen gewesen sei. Der Grund: Man nutze LibSSH nur mit Public-Key-Authentifizierung und die sei ebenfalls nicht betroffen. Zur Sicherheit habe man bei Github das Update aber trotzdem eingespielt.

Einige Twitter-Nutzer berichten, dass sie mit Shodan einige Tausend verwundbare Geräte im gesamten Internet finden. Für die Betroffenen ist das natürlich relevant, aber zu Massenhacks wird es wohl nicht kommen.

Wer SSH auf Servern einsetzt, nutzt meist OpenSSH, im Embedded-Bereich und bei IoT-Geräten kommt häufig die Software Dropbear zum Einsatz. Beide Projekte sind von LibSSH völlig unabhängig und damit nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Swisscom-Chef: Vermasselt habe ich nichts
    Swisscom-Chef
    "Vermasselt habe ich nichts"

    Urs Schaeppi gibt den Chefposten bei Swisscom auf. Sein Rückblick auf neun Jahre Konzernführung fällt ungewöhnlich offen aus.

  3. EV Driver Survey: Elektroautos bei IT-Experten besonders beliebt
    EV Driver Survey
    Elektroautos bei IT-Experten besonders beliebt

    Fahrerlebnis und Technik sind für Fahrer von Elektroautos der größte Zusatznutzen dieser Mobilitätsform. Fast alle würden wieder ein E-Auto kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /